چک لیست ارزیابی نظام مدیریت ریسک براساس استاندارد ISO 31000

دیدگاه‌ خود را بنویسید / چک لیست های حسابرسی, مدیریت ریسک

نظام مدیریت ریسک سازمان باید به صورت مستمر مورد ارزیابی قرار گیرد. یکی از ماموریت های کلیدی حسابرسان داخلی، ارزیابی این نظام است. در این ارزیابی ها ابعادی از نظام مدیریت ریسک از جمله معماری ریسک، استراتژی ریسک و پروتکل های ریسک مورد بررسی قرار می گیرند.

 

معماری ریسک

  • بیانیه ای تدوین شده است که مسئولیت های مدیریت ریسک را به روشنی مشخص می سازد و نقش هیات مدیره را در فرآیند مدیریت ریسک تعیین می کند.
  • مسئولیت مدیریت ریسک به یک کمیته مشخص در سازمان واگذار شده است.
  • ساز و کارهای لازم برای اتخاذ تصمیم های مناسب و دریافت مشاوره های مطلوب در خصوص ریسک ها و کنترل ها ایجاد شده است.
  • فرهنگ آشنایی با ریسک در سازمان ایجاد شده و فرآیندی برای ارتقای سطح بلوغ ریسک در سازمان تعریف شده است.
  • مرجع اطمینان بخشی در خصوص ریسک برای هیات مدیره مشخص و تعیین شده است.

 

استراتژی ریسک

  • سیاست ریسک سازمان تعریف شده و مشتمل بر اشتهای ریسک، فرهنگ ریسک و فلسفه ریسک در سازمان است.
  • عوامل کلیدی موفقیت سازمان تعریف شده و مواردی که باید از آنها اجتناب شوند نیز مشخص گردیده اند.
  • اهداف کسب و کار مورد تایید قرار گرفته و پیش نیازهای کلیدی جهت تحقق آن اهداف شناسایی و آزمون شده اند.
  • ریسک های کلیدی سازمان شناسایی شده و کنترل های اصلی برای کاهش تاثیرات نامطلوب آنها نیز اتخاذ گردیده است.
  • برنامه عملیاتی ریسک در سازمان تهیه شده و شاخص های کلیدی ریسک نیز در این برنامه گنجانده شده اند.
  • منابع مورد نیاز برای پشتیبانی از فعالیت مدیریت ریسک شناسایی و تامین شده اند.

 

پروتکل های ریسک

  • چارچوب مناسبی برای مدیریت ریسک در سازمان شناسایی شده و تطبیق یافته است، همچنین حسب نیاز به روزرسانی می گردد.
  • ارزیابی های ریسک به مقدار مناسب و به روش مطلوبی انجام شده و نتایج به روشی قابل قبول ثبت می شوند.
  • رویه های تصمیم گیری براساس ریسک در سازمان طراحی شده و استقرار یافته اند.
  • جزییات اقدامات برای رویارویی با ریسک ثبت شده و نتایج مشتمل بر میزان اثربخشی این اقدامات نگهداری و پیگیری می شوند.
  • رویه های گزارش رخدادهای بحرانی برای پایش روندهای شکل گیری ریسک ها ایجاد شده است. همچنین رویه های ارجاع ریسک به لایه های بالای مدیریتی نیز تعریف و مستقر شده اند.
  • برنامه استمرار کسب و کار (Business Continuity Plan) و برنامه بازیابی حوادث (Disaster Recovery) ایجاد شده و به صورت مستمر مورد آزمون قرار می گیرد.
  • برنامه مشخصی برای حسابرسی کارایی و اثربخشی کنترل ها برای ریسک های کلیدی تعریف اجرایی شده است.
  • برنامه مشخصی برای گزارشگری الزامی در خصوص ریسک تعریف شده است. این برنامه باید مشتمل بر موارد زیر باشد. اشتهای ریسک، تحمل ریسک، معماری ریسک و رویه های ارجاع ریسک، فرهنگ ریسک، رویه ها و پروتکل های ارزیابی ریسک، شاخص های کلیدی ریسک، وضعیت ریسک های اصلی سازمان، کنترل های کلیدی و ضعف آنها، مرجع اطمینان بخشی به هیات مدیره

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Scroll to Top